$usnjrnl 및 $ logFile 모두 mft entry이다. 둘이 비슷한점은 파일들을 기록한다는 점이다. logfile의 경우 블루스크린 같은 문제점이 발생하였을 때 복구하기 위해서 로그를 기록한다. usnjrnl의 경우 그저 파일의 변화를 기록하기 위해서 존재한다. 목적이 다르다.
실습
ntfs tracker 통해서 분석한 것이다.
악성코드를 분석할 때, suspcious behavior을 통해서 시간을 확인하고 시간 관계를 통해서 파일을 흐름을 분석했다.
추가적인 분석을 위해서 db을 추출한뒤, sqlite을 통해서 분석하였다.
포렌식을 공부하는 학생입니다.